Geboekte vooruitgang, waargenomen trends

MSRT Windows Malicious Software Removal Tool

Matthew Braverman Program Manager Antimalware-team van Microsoft

Geboekte vooruitgang, waargenomen trends

Een white paper van het Antimalware-team van Microsoft

Dankbetuiging We willen de volgende personen graag bedanken voor hun bijdrage aan dit artikel: Mike Chan, Brendan Foley, Jason Garms, Robert Hensing, Ziv Mador, Mady Marinescu, Michael Mitchell, Adam Overton, Matt Thomlinson en Jeff Williams



De informatie in dit document vertegenwoordigt de huidige visie van Microsoft Corporation op zaken die ten tijde van publicatie actueel waren. Omdat Microsoft continu inspeelt op marktontwikkelingen, legt Microsoft zich niet vast op de inhoud van dit document en kan Microsoft niet garanderen dat alle informatie in dit document na de datum van publicatie nog nauwkeurig en correct is. Dit artikel dient uitsluitend ter informatie. MICROSOFT BIEDT GEEN GARANTIES MET BETREKKING TOT DE INFORMATIE IN DIT DOCUMENT, ONGEACHT OF DEZE GARANTIES EXPLICIET, IMPLICIET OF WETTELIJK ZIJN. Het is de verantwoordelijkheid van de gebruiker zich te houden aan alle geldende auteurswetten. Behoudens de in of krachtens de Auteurswet van 1912 gestelde uitzonderingen mag niets uit deze uitgave worden verveelvoudigd en/of openbaar gemaakt door middel van druk, fotokopie, microfilm of op welke andere wijze dan ook en evenmin in een gegevensopzoeksysteem worden opgeslagen zonder voorafgaande schriftelijke toestemming van Microsoft Corporation. Microsoft kan octrooien, octrooiaanvragen, handelsmerken, auteursrechten of andere intellectuele eigendomsrechten hebben die op de inhoud van dit document van toepassing zijn. Dit document geeft u geen enkel gebruiksrecht op deze octrooien, handelsmerken, auteursrechten of andere intellectuele eigendomsrechten, behalve wanneer dit uitdrukkelijk is bepaald in een schriftelijke licentieovereenkomst van Microsoft. Copyright © 2006 Microsoft Corporation. Alle rechten voorbehouden. Microsoft, ActiveX, Excel, MSN, Windows, Windows Server, Windows Live en Windows Vista zijn geregistreerde handelsmerken of handelsmerken van Microsoft Corporation in de Verenigde Staten en/of andere landen.



MSRT Windows Malicious Software Removal Tool

Het Windows-programma voor het verwijderen van schadelijke software: geboekte vooruitgang, waargenomen trends Samenvatting

Microsoft heeft de afgelopen jaren aanzienlijk geïnvesteerd in het onderzoek naar schadelijke software (ook wel “malware” genoemd) en in de ontwikkeling van technologie waarmee klanten worden geholpen met het beperken van beveiligingsrisico's die het gebruik van deze software met zich meebrengt. Microsoft heeft een toegewijd Antimalware-team samengesteld dat verantwoordelijk is voor het onderzoek naar schadelijke software, spyware en andere mogelijk ongewenste software. Het team is ook verantwoordelijk voor de uitgifte en het onderhoud van het Windows-programma voor het verwijderen van schadelijke software (MSRT) en Windows Defender. Het team levert ook de kerntechnologie om malware te bestrijden (waaronder de scan-engine en updates van malwaredefinities) voor producten als Microsoft® Windows Live™ OneCare, Windows Live Safety Center Beta, Microsoft Antigen en de nieuwe versie van Microsoft Forefront Client Security. Microsoft heeft de eerste versie van MSRT op 13 januari 2005 in 24 talen aangeboden aan gebruikers van computers met Microsoft Windows® 2000, Windows XP en Microsoft Windows Server™ 2003. Het programma is ontwikkeld om klanten te helpen met het identificeren van veelvoorkomende malware en het verwijderen van deze malware van hun computers. Het programma is gratis beschikbaar voor Windows-gebruikers die een licentie hebben voor deze software. Bij het schrijven van dit rapport heeft Microsoft 15 extra, verbeterde versies van het programma geleverd en elke tweede dinsdag van de maand verschijnt een nieuwe versie. Aan elke versie wordt nieuwe veelvoorkomende malware toegevoegd zodat deze malware kan worden opgespoord en verwijderd. Sinds de oorspronkelijke uitgave van MSRT is het hulpprogramma circa 2,7 miljard keer uitgevoerd op minimaal 270 miljoen verschillende computers. Dit rapport biedt een gedegen malwareoverzicht dat is gebaseerd op de gegevens die zijn verzameld door het Windowsprogramma voor het verwijderen van schadelijke software (MSRT1). Het rapport benadrukt de invloed die dit programma heeft gehad op het gebied van het verminderen van de impact van malware voor Windows-gebruikers. Belangrijke inzichten die de gegevens bieden worden hieronder in samenvatting weergegeven en worden verderop in het document uitvoerig besproken. •

Het Windows-programma voor het verwijderen van schadelijke software heeft 16 miljoen schadelijke softwareexemplaren verwijderd van 5,7 miljoen unieke Windows-computers gedurende de afgelopen 15 maanden. Het programma verwijdert gemiddeld minstens één malware-exemplaar per 311 computers waarop het programma wordt uitgevoerd.

• Eenenveertig van de 61 malwaregroepen waarop het Windows-programma voor het verwijderen van schadelijke software van januari 2005 tot februari 2006 was gericht, zijn minder vaak gedetecteerd sinds deze families zijn toegevoegd aan de lijst. Bij 21 van de families is de afname zelfs groter dan 75%. •

Trojaanse paarden die ongemerkt worden geïnstalleerd en waarmee een aanvaller een geïnfecteerde computer kan bedienen en toegang krijgt tot vertrouwelijke informatie, vormen een aanzienlijke en concrete bedreiging voor Windows-gebruikers. Het Windows-programma voor het verwijderen van schadelijke software heeft minstens één bepaald Trojaans paard, dat ongemerkt was geïnstalleerd, verwijderd van circa 3,5 miljoen afzonderlijke computers. Dus op 62% van de 5,7 miljoen afzonderlijke computers waarvan het programma malware heeft verwijderd, kwam een Trojaans paard voor dat ongemerkt was geïnstalleerd. Bots, een subcategorie van Trojaanse paarden die ongemerkt worden geïnstalleerd en communiceren via het IRC-netwerk (Internet Relay Chat), vormen het grootste deel van de verwijderde malware.

•

Rootkits, die systeemwijzigingen aanbrengen met als doel bepaalde andere, mogelijk schadelijke componenten te verbergen of te beschermen, vormen een mogelijke acute bedreiging maar zijn nog niet wijdverspreid. Het programma heeft op 5,7 miljoen unieke computers malware verwijderd. In 14% van de gevallen kwam een rootkit voor; dit cijfer daalt naar 9% als WinNT/F4IRootkit, de rootkit gedistribueerd op bepaalde muziek-cd's van Sony, niet wordt meegerekend. In 20% van de gevallen waarin een rootkit werd gevonden op een computer, is eveneens minstens één Trojaans paard gevonden dat ongemerkt was geïnstalleerd.

• Kwaadwillende gebruikers vormen een belangrijke bron van malware-infecties. Op 35% van de computers waarvan het programma schadelijke software heeft verwijderd, betrof het wormen die via e-mail, peer-to-peer-netwerken en expresberichtenclients waren verspreid. • 

Het malwareprobleem blijkt zichzelf te verplaatsen. Van de meeste computers waarop elke versie van het Windowsprogramma voor het verwijderen van schadelijke software is uitgevoerd, heeft het programma nooit malware verwijderd. Het Windows-programma voor het verwijderen van schadelijke software (versie maart 2006) heeft malware verwijderd van circa 150 duizend computers (20% van alle opgeschoonde computers) waarvan bepaalde malware eerder is verwijderd door een eerdere release van het programma.

Overzicht MSRT

Het Windows-programma voor het verwijderen van schadelijke software (MSRT, Malicious Software Removal Tool) is ontwikkeld om klanten te helpen met het identificeren van veelvoorkomende malware en het verwijderen van deze malware van hun computers. Het programma is gratis beschikbaar voor Windows-gebruikers die een licentie hebben voor deze software. MSRT wordt voornamelijk gedistribueerd via Windows Update (WU)/Microsoft Update (MU)/Automatische updates (AU). Ook kunnen versies van het hulpprogramma worden gedownload vanaf het Microsoft Downloadcentrum en als een Microsoft ActiveX®-besturingselement op de website http://www.microsoft.com/malwareremove. Met de huidige versie van het hulpprogramma kunnen 61 verschillende families van schadelijke software worden gedetecteerd en verwijderd. MSRT wordt door Microsoft uitgegeven en bijgewerkt met twee hoofddoelstellingen: 1. Beperken van de gevolgen van veelvoorkomende schadelijke software voor Windows-gebruikers. 2. De met MSRT verzamelde gegevens gebruiken om een betrouwbare set trendgegevens samen te stellen over de feitelijke gevolgen van schadelijke software voor klanten die Windows gebruiken. Deze gegevens zijn gebruikt door het Antimalware team van Microsoft om gericht te kunnen werken aan ontwikkeling en om de tijd die nodig is om te reageren op gemelde schadelijke software tot een minimum te beperken. Tevens kunnen andere beveiligingsonderzoekers uit rapporten zoals dit white paper gegevens halen voor een beter inzicht in schadelijke software en zich richten op het gezamenlijke doel om de gevolgen van schadelijke software voor de gebruikers van Windows te verminderen. Het hulpmiddel is niet gericht op spyware en mogelijk ongewenste software. Gebruikers van Windows moeten een actuele antispywaretoepassing downloaden en installeren om spyware en mogelijk ongewenste software te detecteren en van hun computer te verwijderen. Windows Defender, de antispyware-oplossing van Microsoft, ten tijde van schrijven van dit rapport in bètaversie, wordt gratis aangeboden aan Windows-gebruikers met een geldige licentie, via http://www.microsoft.com/ windowsdefender. MSRT is geen vervanging voor een actuele antivirusoplossing, want het biedt geen real-time bescherming en gebruikt slechts een gedeelte van de antivirushandtekeningendatabase van Microsoft. Uit deze database put MSRT mogelijkheden om schadelijke software te herkennen. Microsoft raadt gebruikers met een actueel antivirusprogramma echter wel aan om ook dit hulpprogramma uit te voeren, als een grondige beschermingsmaatregel. Deze gebruikers hebben ook indirect voordeel bij MSRT, omdat geïnfecteerde computers nadelige gevolgen kunnen hebben voor gedeelde bronnen, zoals internet of een LAN (local area network). Gebruikers van Windows wordt ten sterkste aangeraden om een actuele antivirusoplossing te installeren en bij te houden, voor real-time bescherming en gebruik van een volledige antivirushandtekeningendatabase. Windows Live OneCare van Microsoft voldoet aan deze eisen, naast andere producten aangeboden door de antiviruspartners van Microsoft, die staan vermeld op http://www.microsoft.com/security/partners/antivirus.asp.

Achtergrond van het rapport

Dit rapport biedt gegevens over en inzichten in de manier waarop Microsoft, door middel van de uitgave van MSRT, de afgelopen 15 maanden vooruitgang heeft weten te boeken met de bij de release benoemde doelstellingen: vermindering van de hoeveelheid veelvoorkomende schadelijke software met gevolgen voor gebruikers en het inwinnen van waardevolle telemetrische gegevens. Deze gegevens bieden een essentieel inzicht in de huidige toestand op het gebied van schadelijke software voor Windows. In de toekomst zullen aanvullende rapporten worden uitgegeven met de bevindingen van Microsoft over schadelijke software met grotere regelmaat worden gepubliceerd, en met gegevens uit aanvullende bronnen naast MSRT. Dit rapport bevat gegevens tot en met de uitgave van maart 2006 van MSRT. Hoewel nieuwere versies van MSRT sinds de uitgave van dit rapport ter beschikking zijn gesteld, moesten de gegevens op een eerder moment worden bevroren om verwerking, verificatie en analyse mogelijk te maken. Zie de Bijlage bij dit document voor een beschrijving van de met MSRT verzamelde gegevens. De in dit rapport gebruikte gegevens zijn verkregen door het meten van infecties op computers van gebruikers, zoals gemeld via MSRT. Er zijn tegenwoordig allerlei andere technieken in gebruik om te meten hoeveel schadelijke software wordt geblokkeerd. Bij sommige wordt het aantal verzoeken aan een netwerk gemeten, bij andere wordt het aantal e‑mailberichten bijgehouden dat wordt verstuurd door bedreigingen. Bij dergelijke technieken wordt echter alleen het aantal kopieën gemeten van bedreigingen die door geïnfecteerde computers worden verspreid, niet het aantal geïnfecteerde computers. Één infectie kan immers talrijke kopieën van zichzelf voortbrengen. Daarom is het bijhouden van specifieke infecties de nauwkeurigste methode om vast te stellen hoeveel infecties met schadelijke software zijn voorkomen. In het geval van MSRT wordt de relevantie van de gegevens bijzonder significant als we het aantal malen dat programma's worden uitgevoerd in overweging nemen. Het profiel van de gebruikers van MSRT is gevarieerd, maar gezien de gebruikte verspreidingsmethoden is het aannemelijk dat de meeste gebruikers thuisgebruikers en kleine ondernemingen zijn. 

Daarom hebben de meeste gegevens in dit rapport betrekking op die publieksgroep. De trends en richtlijnen in dit rapport zijn echter toepasselijk op alle gebruikers van Windows. In dit rapport wordt gebruikgemaakt van de volgende termen met betrekking tot schadelijke software: • Familie – Een familie op elkaar lijkende varianten van schadelijke software. Zo is Win32/Rbot een schadelijkesoftwarefamilie die duizenden op elkaar lijkende, maar toch onderling verschillende varianten omvat. • Variant – Een specifiek schadelijk programma. Zo is Win32/Rbot.A een variant in de familie Win32/Rbot. •

Exemplaar of infectie – De constatering van een specifieke variant van schadelijke software op een computer. Eén exemplaar omvat alle componenten (bestanden, registersleutels, enz.) van één variant en elke keer dat een variant van een computer wordt verwijderd, wordt dit geteld als een afzonderlijk exemplaar. Als met het hulpprogramma bijvoorbeeld tegelijkertijd Win32/Rbot.A en Win32/Rbot.B van een computer worden verwijderd, wordt dit geteld als twee infecties of exemplaren. Als drie maanden later Win32/Rbot.A opnieuw van dezelfde computer wordt verwijderd, wordt dat geteld als nog een infectie.

Releasestatistieken

Windows MSRT wordt voornamelijk verspreid via WU/MU/AU. Via dit mechanisme wordt MSRT wereldwijd op honderden miljoenen computers per maand uitgevoerd, zodat een waardevolle bron van bedreigingsgegevens wordt verkregen voor analyse. Afbeelding 1. MSRT uitvoeren via WU/AU/MU In afbeelding 1 ziet u hoe vaak MSRT op afzonderlijke computers is uitgevoerd, voor elk van de 15 maandelijkse uitgaven van januari 2005 tot en met maart 2006. De waarden langs de x-as van de grafiek verwijzen naar de releasemaanden van MSRT, niet naar kalendermaanden. De release van februari 2006 van MSRT werd bijvoorbeeld uitgegeven op 14 februari 2006, en opgevolgd door de release van maart 2006 op 14 maart 2006. Verder is de speciale uitgave uit augustus als reactie op de Zotob-worm niet opgenomen in de grafiek, omdat die alleen werd uitgegeven via het Downloadcentrum van Microsoft en als een ActiveX-besturingselement op de website http://www.microsoft.com/malwareremove, maar niet verspreid via WU/MU/AU. Zoals u ziet in afbeelding 1 is het aantal malen dat MSRT werd uitgevoerd op enkele uitzonderingen na telkens toegenomen. Bijzonder opvallend is het verschil tussen het gebruik van de eerste release van het hulpprogramma en het gebruik van de nieuwste release. Tussen die twee uitgaven is het gebruik meer dan verdubbeld: van circa 125 miljoen tot 270 miljoen maal op afzonderlijke computers. Het verschil is het gevolg van een toegenomen gebruik van WU en AU door gebruikers van Windows, hetgeen vermoedelijk weer het gevolg is van initiatieven van Microsoft zoals Windows XP Service Pack 2, waarbij het inschakelen van AU werd aanbevolen, en het initiatief Protect Your PC, naast samenwerkingsverbanden met OEM-leveranciers waarbij nieuwe computers worden geleverd waarop vooraf Windows XP SP2 is geïnstalleerd. Als we het aantal malen dat de verschillende releases zijn gebruikt bij elkaar optellen, krijgen we het totale aantal malen dat MSRT via WU/AU/MU is uitgevoerd: circa 2,7 miljard keer sinds de oorspronkelijke release. Deze cijfers zijn ook bemoedigend met betrekking tot de groeiende trend en het hoge aantal computers dat regelmatig contact maakt met WU/AU. Een algemener en tijdig gebruik van deze updatemechanismen van Microsoft kan bijdragen aan het verminderen van de gevolgen van bedreigingen voor de klant. 

Details geselecteerde schadelijke software

Elke maand onderzoeken leden van het Antimalware-team van Microsoft welke nieuwe veelvoorkomende schadelijke software moet worden toegevoegd aan de volgende versie van MSRT. De criteria voor selectie van nieuwe bedreigingen om toe te voegen aan MSRT zijn bepaald aan de hand van drie factoren: • De bedreiging moet veel voorkomen. • De bedreiging moet schadelijk zijn of kunnen leiden tot het ontstaan van een schadelijk scenario. • De bedreiging zal vermoedelijk actief zijn wanneer MSRT wordt uitgevoerd. De eerste kernvereiste voor het toevoegen van nieuwe schadelijke software aan MSRT is dat de bedreiging veel voorkomt. Voor het opsporen van nieuwe kandidaat-bedreigingen en het bepalen of de bedreigingen voorkomen, gebruikt het team een verzameling interne en externe meetgegevens. De belangrijkste interne meetgegevens zijn onder meer de gegevens verzameld door Windows Live Safety Center Beta (http://safety.live.com) en Windows Live OneCare, beide bestemd voor het scannen van computers op de volledige verzameling schadelijke software die bij Microsoft bekend is. De belangrijkste gebruikte externe gegevens zijn die van de WildList (http://www.wildlist.org), de standaardlijst van de antivirusindustrie met veelvoorkomende schadelijke software, die tevens de basis vormt voor de meeste antivirusproductcertificaties, zoals de ICSA Antivirus Certification en Check-Mark van West Coast Labs, beide onlangs toegekend aan Windows Live OneCare. De tweede vereiste voor het toevoegen van items aan het hulpprogramma is dat het om schadelijke software moet gaan (bijvoorbeeld virussen, wormen, Trojaanse paarden, bots, rootkits). In de meeste gevallen heeft dit betrekking op de replicatieprogrammacode, programmacode die expliciet schade veroorzaakt, of programmacode waardoor een getroffen systeem wordt blootgesteld aan inbraak of andere beveiligingsrisico's. Het hulpmiddel is niet gericht op spyware en mogelijk ongewenste software. De derde vereiste is dat het waarschijnlijk is dat de schadelijke software actief wordt uitgevoerd op een computer. Deze vereiste is een bijkomend gevolg van hoe het hulpprogramma wordt uitgevoerd via WU/MU/AU. Het hulpprogramma wordt in de meeste gevallen één keer per maand uitgevoerd. Daarbij wordt gezocht naar schadelijke software die op dat moment actief wordt uitgevoerd en wordt gezocht bij programma's die automatisch worden gestart ('auto-startlocaties'), waarna het hulpprogramma wordt afgesloten, waarbij geen componenten actief blijven op de computer. Het hulpprogramma is daarom alleen werkzaam als de schadelijke software op dat moment wordt uitgevoerd of als er een link naar verwijst vanuit een autostartlocatie. Het hulpprogramma is daarom niet gericht op bedreigingen zoals infecties van gegevensbestanden, waaronder Microsoft Word en Microsoft Excel®-macrovirussen. Wanneer een nieuwe familie van schadelijke software wordt toegevoegd aan het hulpprogramma, worden ook alle varianten van die familie in die uitgave opgenomen. Bij elke toekomstige uitgave worden eventuele nieuwe varianten van die familie ook toegevoegd aan het hulpprogramma. Afbeelding 2. Met MSRT gedetecteerde en verwijderde families van schadelijke software In afbeelding 2 staan in alfabetische volgorde de 61 families van schadelijke software vermeld die met MSRT kunnen worden gedetecteerd, met ingang van de uitgave van maart 2006, ingedeeld in zeven categorieën die elkaar niet uitsluiten. Er zijn verschillende classificatiemethoden voor schadelijke software, op basis van vermogens, replicatievector, enz., maar de in de afbeelding weergegeven zeven categorieën (e-mailworm, peer-to-peer (P2P)worm, expresbericht (IM)-worm, exploit-worm, ongemerkt geïnstalleerd Trojaans paard, rootkit en virus) bieden een classificatiesysteem op topniveau dat zijn nut heeft bewezen en dat we in de rest van dit document zullen aanhouden. Aangezien in sommige van de bovengenoemde families dagelijks nieuwe varianten van schadelijke software verschijnen, kan het gebeuren dat deze classificaties na het uitkomen van dit rapport moeten worden gewijzigd. In deze afbeelding is een exploit-worm gedefinieerd als een bedreiging die gebruikmaakt van minimaal één zwakke plek in de software, waardoor het mogelijk wordt dat programmacode wordt uitgevoerd zonder een handeling door de gebruiker. Schadelijke software die gebruikmaakt van een zwakke plek waarbij wél een handeling door de gebruiker vereist is (bijvoorbeeld het openen van een e-mailbericht of het bekijken van een website) is niet opgenomen in deze categorie. 

Een familie van schadelijke software wordt uitsluitend in een categorie ondergebracht als alle bekende varianten ervan het gedrag vertonen dat bij die categorie hoort. Zo kan slechts één variant van de familie Bagle (Bagle.O) worden ingedeeld als een virus, omdat uitvoerbare bestanden ermee geïnfecteerd worden. Daarom wordt de familie Bagle niet ingedeeld onder virussen. Een ander voorbeeld is de familie Rbot, waarvan veel varianten in staat zijn om gebruik te maken van zwakke plekken in software. Maar aangezien in de meeste gevallen handmatige interventie door de eigenaar van de bot vereist is om deze vorm van replicatie te activeren, wordt Rbot niet geclassificeerd als een exploit-worm. Zoals u hierboven ziet, past een klein gedeelte van de families uit afbeelding 2 in geen van de zeven categorieën. Met MSRT kan een klein aantal specifieke varianten van schadelijke software worden gedetecteerd die niet binnen de bovengenoemde families vallen. Deze varianten passen niet in de bovengenoemde families en worden door het hulpprogramma gedetecteerd voor een end-to-end-desinfectie.

Met MSRT verwijderde schadelijke software In de rest van dit document worden gedetailleerde gegevens verschaft over de schadelijke software die de afgelopen 15 maanden met MSRT is verwijderd, inclusief de algemene kenmerken (bijv. besturingssysteemversies, landen) van de computers waarvan de schadelijke software is verwijderd.

Overzicht

Om te beginnen gaat het rapport in op de hoeveelheid verwijderingen uitgevoerd met MSRT. Afbeelding 3. Schadelijke software verwijderd en computers gereinigd per release van MSRT De drie gegevensreeksen in de grafiek in afbeelding 3 bieden de volgende informatie: • Verwijderde schadelijke software: Het aantal met MSRT verwijderde schadelijke softwareprogramma's voor elke uitgave van januari 2005 tot en met maart 2006. Met alle uitgaven van het hulpprogramma bij elkaar zijn 16 miljoen exemplaren van schadelijke software verwijderd.



• Gereinigde computers: Het aantal met MSRT gereinigde afzonderlijke computers, per uitgave, van juni 2005 tot en met maart 2006. Het aantal per uitgave gereinigde afzonderlijke computers is altijd kleiner dan het aantal verwijderde exemplaren van schadelijke software voor die uitgave (soms worden meerdere infecties verwijderd van één computer). U ziet bovendien dat deze gegevensreeks start in juni 2005: dat is omdat het hulpprogramma dit gegeven pas vanaf die uitgave begon te meten. Van juni 2005 tot maart 2006 is met het hulpprogramma minimaal één exemplaar van schadelijke software verwijderd van 5,7 miljoen afzonderlijke computers. Het totale aantal sinds de oorspronkelijke uitgave van dit hulpprogramma is groter, maar het exacte aantal is onbekend omdat over de periode vóór juni 2005 geen gegevens beschikbaar zijn over dit aspect.

•

Nieuwe computers: Van het totale aantal per uitgave gereinigde computers, het aantal nieuwe, afzonderlijke computers waarvan met het hulpprogramma bij elke uitgave schadelijke software werd verwijderd. 'Nieuw' verwijst hier naar een computer waarvan met het hulpprogramma nog niet eerder schadelijke software is verwijderd, ook niet met een van de eerdere uitgaven van MSRT. Voor elke uitgave is deze waarde nooit groter dan het totale aantal gereinigde computers. Aangezien dit cijfer in verband staat met het aantal gereinigde computers, kon het vóór juli 2005 niet worden gemeten. Als een gebruiker het besturingssysteem opnieuw installeert op zijn of haar computer, wordt dit systeem als 'nieuw' gezien door ons meetsysteem. Voor dit rapport wordt verondersteld dat de betekenis van dit scenario klein is en dat er dus geen rekening mee wordt gehouden.



U kunt aan de hand van de gegevens in afbeelding 3 verschillende zaken opmerken: •

De toename in de hoeveelheid verwijderde malware en het aantal opgeschoonde computers is het resultaat van de toename van het aantal uitvoeringen van MSRT (zie afbeelding 1) en een toename van het aantal terugkerende schadelijke softwarefamilies en varianten die door dit programma worden bestreden. Doorgaans is in versies vanaf november 2005 een aanzienlijke toename van het aantal infectiebestrijdingen te zien. Elk van deze toenamen is te wijten aan de toevoeging van één of een aantal specifieke gangbare schadelijke softwarefamilies aan het programma. Omdat sommige families in het verleden zijn ontdekt en het niet mogelijk is om vast te stellen wanneer de computer van een gebruiker voor het eerst is geïnfecteerd, zou het niet juist zijn deze gegevens te interpreteren als een toename van de hoeveelheid exemplaren van schadelijke software.

• November 2005: een combinatie van Win32/Mabutu, Win32/Codbot en Win32/Bugbear • December 2005: WinNT/F4IRootkit • Januari 2006: Win32/Parite • Februari 2006: Win32/Alcan • •

Door de gegevens uit afbeelding 1 te combineren met de gegevens uit afbeelding 3 kunnen wij vaststellen dat in de MSRTversie van maart 2006 het aantal geïnfecteerde computers bij elke uitvoering van het programma 0,28% was. Met andere woorden: het programma heeft malware verwijderd van ongeveer 1 op elke 355 computers waarop het werd uitgevoerd. Het gemiddelde percentage van alle versies van juni 2005 tot maart 2006 is nagenoeg hetzelfde (0,32%), of ongeveer 1 op elke 311 computers. Deze infectiegraad bleef relatief constant in de meetbare versies, met een piekstijging van 0,4% in augustus 2005 en de kleinste stijging van 0,24% in september 2005. Voor elke versie geldt dat het merendeel van de computers waarvan malware door het programma wordt verwijderd, voor de eerste keer wordt opgeschoond met MSRT. Daartegenover staat dat bij elke versie het programma malware van een steeds kleiner aantal computers verwijdert waarvan al eerder malware is verwijderd. Bij de versie van het programma van maart 2006 waren ongeveer 600.000 van de 750.000 computers waarvan de malware is verwijderd, nieuwe computers. Dat is omgerekend 80%. In 20% van de gevallen is malware van dezelfde computers door een vorige versie van het programma verwijderd. Bij deze verwijderingen ging het om dezelfde computers die met een andere variant of familie van de malware waren geïnfecteerd, en om computers die opnieuw met dezelfde malwarevariant waren geïnfecteerd (waarschijnlijk door een computer waarop geen patches zijn geïnstalleerd, of door kwaadwillende gebruikers of 'social engineering').

Per computer verwijderde malware

Een ander interessant punt dat moet worden onderzocht, is het aantal unieke malwarevarianten die van elke computer zijn verwijderd. In de meeste gevallen heeft het programma alleen een enkele malwarevariant van de computer verwijderd. Maar in enkele gevallen zijn er door het programma tientallen of zelfs honderden malwareprogramma's van computers verwijderd. Afbeelding 4. Per computer verwijderde unieke malwarevarianten In afbeelding 4 staat het aantal computers waarvan een bepaald aantal afzonderlijke, individuele malwarevarianten door het programma zijn verwijderd. Als het programma dezelfde malwarevariant twee keer van dezelfde computer heeft verwijderd, zijn deze twee verwijderingen als één verwijdering geteld. Met behulp van de gegevens uit afbeelding 4 kunnen wij het gemiddelde aantal unieke malwarevarianten berekenen dat per computer is verwijderd. Dat aantal is 1,59. Dit programma verwijdert dus iets vaker meerdere malwarevarianten per computer dan één malwarevariant. In gevallen waarin er meer malware is verwijderd, waren de computers doorgaans geïnfecteerd door een verscheidenheid aan bots, waarschijnlijk omdat de computer van een gebruiker werd geïnfecteerd door een bot en die computer vervolgens via de backdoor door andere bots werd geïnfecteerd. 

Win32/Antinny, een peer-to-peer-worm die vrijwel alleen Japanse computers infecteert, is een virus dat dezelfde computers meerdere malen kan infecteren. De reden hiervan is dat Antinny allerlei technische trucs gebruikt om de gebruikers over te halen de worm te downloaden en uit te voeren. In de praktijk betekent dit dat wanneer een gebruiker de worm één keer uitvoert, hij de worm vervolgens waarschijnlijk meerdere keren uitvoert en dus de computer meerdere keren infecteert.

Details over het verwijderen van malware

In dit gedeelte wordt dieper ingegaan op de relatie van de informatie uit de vorige secties ten aanzien van de 61 malwarefamilies die door het programma MSRT kunnen worden opgespoord en verwijderd. Afbeelding 5: Malware/computers waarvan malware is verwijderd

In afbeelding 5 staan alle 61 malwarefamilies die door de versie van het programma MSRT van maart 2006 kunnen worden opgespoord, plus de volgende informatie: • Het aantal keren dat de malwarefamilie is verwijderd van een computer tussen januari 2005 en maart 2006. De lijst is aflopend op dit criterium gesorteerd. • Het aantal computers waarvan de malwarefamilie is verwijderd tussen januari 2005 en maart 2006. • De versie van het MSRT-programma die de malwarefamilie voor het eerst in het programma heeft aangetroffen. • De maand en het jaar waarin de variant van de familie is ontdekt.

10

Enkele punten uit afbeelding 5 die enige toelichting behoeven: • Win32/Parite, Win32/Alcan en WinNT/F4IRootkit zijn het vaakst gedetecteerd en verwijderd, ondanks dat de familie alleen door de laatste vijf releases van het programma kan worden gedetecteerd. Parite, een virus dat bestanden infecteert, is vooral interessant omdat het voor het eerst van zich liet horen in 2001 en daarna niet meer van het toneel is verdwenen. Dat komt omdat het erg lastig is Parite van computers te verwijderen en dit virus een agressief bestandsvirus is. Er zijn geen belangrijke correlaties tussen het aantal verwijderingen en het moment waarop de familie werd ontdekt, of het moment waarop de functie voor het detecteren van dit virus voor het eerst aan het programma werd toegevoegd. • Bots (Rbot, Sdbot en Gaobot) staan bij de eerste vijf tijdvakken voor wat betreft het aantal verwijderingen. De overheersende aanwezigheid van deze drie malwarefamilies versterkt het punt over de algemeen verspreide Trojaanse paarden die via een achterdeur worden verspreid (de zogenoemde 'backdoor Trojaanse paarden'). Dit punt wordt in de samenvatting gemaakt. • Win32/Antinny, op nummer 12 in de lijst, verspreidt zich via een Japans netwerk voor bestandsuitwisseling. Het feit dat de worm alleen maar in systemen met Japanse land- en taalinstellingen wordt gevonden maar na zes releases nog steeds als zeer gevaarlijk wordt beschouwd, betekent dat de worm tamelijk verspreid was in Japan en illustreert de dreiging van regiospecifieke of taalspecifieke virusinfecties. • Win32/Alcan, een relatief onbekende worm die zich via peer-to-peer-netwerken repliceert, heeft nu al een van de hoogste cijfers qua verwijderen, ondanks het feit dat de worm pas in februari 2006 aan het programma is toegevoegd. De aanwezigheid van de worm is waarschijnlijk te wijten aan redelijk effectieve social engineeringtechnieken waardoor de worm wordt versterkt, zoals vermomming als een toepassing waarin nadat deze is uitgevoerd een fout optreedt. • Win32/Zotob, dat misbruik maakt van een beveiligingslek dat in Microsoft-beveiligingsbulletin MS05-039 wordt besproken, is van slechts 6132 computers verwijderd, waardoor deze worm de minst verspreide worm is van alle wormen die misbruik maken van beveiligingslekken. Dit is steekhoudend, omdat dit beveiligingslek alleen op computers met Windows 2000 voorkomt. Ironisch genoeg is Win32/Esbot (op nummer 30), dat misbruik maakt van hetzelfde beveiligingslek, in vergelijking met Win32/Zotob van tien keer zoveel computers verwijderd, maar heeft minder aandacht gekregen. Win32/Msblast, op nummer 10, blijft de worm bij beveiligingslekken die het vaakst van computers is verwijderd. • Terwijl de rootkit-familie Hacker Defender doorgaans de meeste aandacht krijgt van de andere rootkit-families, is deze rootkit in feite een van de rootkits die het minst door het programma worden verwijderd. WinNT/FURootkit is de toolkit die het vaakst door het programma van computers is verwijderd. Deze toolkit wordt vaak gebruikt als masker voor de aanwezigheid van een backdoor Trojaans paard dat op een computer is geïnstalleerd. Afbeelding 6 geeft Opgeschoonde computers per malwaretype In afbeelding 6 ziet u de gegevens uit afbeelding 5 met de malware-classificaties uit afbeelding 2. Van de 5,7 miljoen computers die virusvrij zijn gemaakt, heeft MSRT een backdoor Trojaans paard van meer dan 3,5 miljoen computers (62%) verwijderd. Zoals in een aantal artikelen over recente ernstige aanvallen is vermeld, wordt dit backdoor Trojaanse paard vaak gebruikt door aanvallers voor financieel gewin, door netwerken van geïnfecteerde computers te creëren en deze te verkopen als relaisstations en distributiepunten voor spam, spyware en DoS-aanvallen (denial of service). Behalve een up-todate antivirusprogramma moeten computergebruikers firewalls installeren die binnenkomend en uitgaand verkeer controleren, om te voorkomen dat informatie wordt vrijgegeven en om de aspecten van deze bedreigingen extern te kunnen controleren. Vergeleken met backdoor Trojaanse paarden zijn rootkits op een veel kleiner aantal computers aangetroffen, ongeveer op 780.000. Dit cijfer daalt tot ongeveer 530.000 als detecties van WinNT/F4IRootkit niet worden meegerekend. Hieraan wordt speciale aandacht besteed, omdat is gebleken dat schadelijke malware zich steeds weer met behulp van de rootkit op computers verbergt en Sony deze rootkit niet als een kwaadaardig softwarepakket beschouwde maar als een functie tegen piraterij met distributiekenmerken voor de handel in plaats van voor virussen. Net zoals bij de andere malwarecategorieën die in dit rapport aan de orde komen, is deze informatie alleen relevant voor de malware die door het programma kan worden opgespoord. Hoewel er zowel bekende rootkits zijn die vanwege een geringe aanwezigheid niet worden gedetecteerd door het programma, als onbekende rootkits die niet door het programma worden gedetecteerd, blijkt uit feedback van gebruikers en de telemetrie van andere Microsoft-producten zoals Windows Live OneCare en Windows Live Safety Center Beta dat de vijf rootkit-families die door het programma MSRT worden bestreden, een aanzienlijk deel uitmaken van de rootkits waarvan een grote groep gebruikers vandaag de dag last heeft. 11

De meest effectieve remedie tegen rootkits is preventie. Klanten wordt geadviseerd hun virusdefinitiebestanden up-to-date te houden, zodat het antivirusprogramma de rootkit kan detecteren en blokkeren voordat de rootkit op de computer kan worden geïnstalleerd en waar mogelijk als een niet-beheerder wordt uitgevoerd. Gebruikers die als standaardgebruikers zijn aangemeld, kunnen de meeste rootkits niet op hun computers installeren. Het nieuwe besturingssysteem van Microsoft, Windows Vista™, bevat diverse functies waarmee kan worden voorkomen dat de belangrijkste interne structuren van het besturingssysteem door de rootkit kunnen worden ontregeld. In die gevallen waarin preventie niet mogelijk is en een systeem al door een rootkit is geïnfecteerd, moet een antivirusprogramma of een soortgelijk programma worden gebruikt om de rootkit op te sporen en te verwijderen. In dat geval moeten gebruikers en dan vooral zakelijke gebruikers de afweging maken of zij de moeite van de extra stappen voor het oplossen van het probleem willen nemen. Wat betreft bedreigingen door social engineering is e-mail de meestvoorkomende vorm van de technieken bij ongeveer 20% van de opgeschoonde computers die zijn geïnfecteerd met minstens één bedreiging die via e-mail werd verspreid. Het programma MSRT kan de drie gevaarlijkste wormen in expresberichten (Win32/Bropia, Win32/Kelvir en Win32/Mytob) opsporen en verwijderen, maar deze wormen zijn maar op een relatief klein aantal computers (minder dan 250.000) aangetroffen. Vergelijk dit met de circa 450.000 computers waarvan alleen al Win32/Alcan en Win32/Antinny zijn verwijderd, die zich via P2P-netwerken verspreiden. Malware die zich via een P2P-netwerk verspreidt, kan detecteren of er veelgebruikte P2P-toepassingen op een computer zijn geïnstalleerd. Als dat zo is, maakt de worm kopieën van zichzelf met doorgaans verleidelijke namen in de directory's waar de P2P-toepassingen bestanden over het netwerk delen. Op die manier wordt de worm via het P2P-netwerk verspreid. Behalve een up-to-date antivirusprogramma is de beste verdediging tegen dit soort bedreigingen een betere informatievoorziening aan de gebruiker. Daarnaast moeten gebruikers zich aanmelden als gebruiker en niet als beheerder, zodat de worm minder schade kan aanrichten. Een van de redenen waarom recente IM-bedreigingen zich minder hebben kunnen verspreiden in vergelijking met P2Pbedreigingen, is het feit dat in IM-programma's speciale functies zijn ingebouwd, waardoor gebruikers hun computers niet meer met malware kunnen infecteren. In MSN® Messenger-versie 7 bijvoorbeeld kunnen gebruikers bepaalde typen uitvoerbare bestanden niet meer versturen en werkt een link pas als de gebruiker uitdrukkelijk toestemming heeft gegeven om die link te volgen. Dergelijke beveiligingen zijn nog niet aanwezig in P2P-clientprogramma's. De andere belangrijke reden voor dit verschil is, dat P2P-toepassingen, zoals programma's voor het uitwisselen van bestanden, ontvankelijker zijn voor het verspreiden van schadelijke bestanden vergeleken met IM-programma's waarmee berichten worden verzonden en ontvangen. Afbeelding 7: Correlatie van malware-infecties op type

Afbeelding 7 laat de overlap zien tussen de detecties van de bovenstaande malwaretypen op een computer. Op 1% van alle computers waarop door MSRT een e-mailworm is aangetroffen, heeft MSRT ook een P2P-worm aangetroffen. Omgekeerd werd in 1,9% van de gevallen waarin een P2P-worm werd gedetecteerd, ook een e-mailworm aangetroffen. De grootste wisselwerking vindt plaats tussen rootkits en backdoor Trojaanse paarden. In ongeveer 20% van de gevallen waarin een rootkit op een computer werd ontdekt, werd ook minstens één backdoor Trojaans paard aangetroffen. Dit wijst erop dat een groot aantal rootkits wordt verspreid of gebruikt door backdoor Trojaanse paarden. Ook tussen P2P-wormen en backdoor Trojaanse paarden en IM-wormen en backdoor Trojaanse paarden zijn zulke verbanden te zien De hoge cijfers wijzen er ook op dat computers vaak door veel P2P-wormen en IM-wormen met bots worden geïnfecteerd.

12

Wijzigingen in het verwijderen van malware

Er zijn twee heel goede redenen om bij te houden op welke manieren malwarefamilies door het programma worden verwijderd. Ten eerste kan Microsoft zo de activiteiten en de aanwezigheid van bepaalde malwarefamilies controleren. De families die nadat zij aan het programma zijn toegevoegd, steeds vaker worden verwijderd, zijn doorgaans die gevallen waar varianten actief worden en zich repliceren. Het bijhouden van de gewijzigde manieren van verwijderen is ook nuttig, omdat Microsoft het succes van het programma MSRT kan controleren door ervoor te zorgen dat de varianten van de malwarefamilies die door het programma worden gedetecteerd, steeds vaker worden opgespoord en verwijderd. Hoewel er aan de steeds lagere aanwezigheid ook andere factoren ten grondslag kunnen liggen, betekent het feit dat het programma MSRT een groot aantal instanties van malwarefamilies van computers heeft verwijderd, dat deze release er gedeeltelijk verantwoordelijk voor is dat er minder malware op computers aanwezig is. Afbeelding 8: Verandering in verwijderingen Win32/Rbot Microsoft voert twee metingen uit om de wijzigingen in de manier van het verwijderen van malware door het programma MSRT bij te houden. Deze worden verricht om de hierboven omschreven redenen. In afbeelding 8 ziet u deze metingen met de Win32/Rbot-familie. Langs de X-as staan de maanden en jaren. De datum in dit model is belangrijk om de voortgang gedurende een bepaalde periode te kunnen laten zien. Door het feit dat gebruikers oudere versies van het programma MSRT kunnen gebruiken, alhoewel er 60 dagen na de release een waarschuwingsvenster verschijnt, zouden deze minder representatief zijn als de releasemaand van MSRT wordt meegerekend.



• Verandering van familie (zwarte stippellijn): de gewijzigde verwijderingen voor een familie vanuit de tijddetectie zijn voor het eerst toegevoegd aan de nieuwste release van het programma. Hoewel dit een uitstekend overzicht geeft van andere manieren waarop een familie de afgelopen tijd is verwijderd, is het overzicht niet helemaal correct door families die actief waren en die na te zijn toegevoegd aan het programma, slechts op kleine schaal zijn verwijderd. De grafiek laat het aantal verwijderingen van de Win32/Rbotfamilie van april 2005 tot en met maart 2006 zien. Aan de hand van deze gegevens kunnen wij berekenen dat het aantal verwijderingen van deze familie de afgelopen 11 maanden met ongeveer 16% is toegenomen. Met deze informatie en de gegevens uit afbeelding 5 kan worden geconcludeerd dat Rbot zeer actief en wijdverspreid is. Deze gegevensreeks is de som van de ononderbroken lijnen die eronder staan.

•

Gemiddeld aantal wijzigingen per release (ononderbroken lijnen): de wijziging in het aantal verwijderingen voor een bepaalde set varianten die zijn toegevoegd aan één release vanaf het moment dat de set voor het eerst aan het programma is toegevoegd, tot aan de nieuwste versie van het programma met een gemiddelde van alle releases. Deze meting wordt niet beïnvloed door het grote aantal verwijderingen van actieve malwarefamilies en is derhalve een betere meting om vast te stellen hoe goed het programma het aantal actieve instanties van een familie onschadelijk heeft kunnen maken. De ononderbroken lijnen in de grafiek zijn het aantal verwijderingen van een set Win32/Rbot-varianten die de afgelopen periode aan een bepaalde release zijn toegevoegd. Hoe langer de lijn, hoe langer het programma deze varianten heeft opgespoord. De langste donkerblauwe lijn bijvoorbeeld vertegenwoordigt de eerste set Rbot-varianten die aan het programma zijn toegevoegd. De algemene tendens hier is, dat wanneer de detectie voor een set Rbot-varianten aan het programma is toegevoegd, het aantal verwijderingen van die varianten op den duur minder wordt. Als wij de wijziging in de verwijderingen voor elk van die sets varianten gedurende een bepaalde periode berekenen en vervolgens het gemiddelde van die wijzigingen nemen, zien we dat het aantal verwijderingen van Rbot-varianten met ongeveer 79% is verminderd vanaf het moment dat de detectie van deze varianten aan MSRT is toegevoegd.

13

Afbeelding 9: Wijzigingen in het verwijderen van malware

In afbeelding 9 ziet u het merendeel van de malwarefamilies die door het programma worden gedetecteerd, met de twee metingen voor wijzigingen in de manier van verwijderen (zie hiervoor), oplopend gerangschikt op percentage per familie. De drie families (Win32/Atak, Win32/Torvil en Win32/Zlob) die aan de versie van het programma van maart 2006 zijn toegevoegd, staan niet in dit overzicht, omdat we nog niet hebben kunnen vaststellen of er een wijziging in het aantal verwijderingen is. Bovendien zijn Win32/Bofra, Win32/Gibe, Win32/Opaserv, Win32/Badtrans en Win32/Zotob niet meegerekend, omdat deze families voor een betrouwbare meting te weinig zijn verwijderd (minder dan 1000 maal). Zoals uit de cijfers blijkt, komt de meerderheid van de families (41 van de 53) minder voor nadat de detectie hiervan aan het programma is toegevoegd. Dit is bemoedigend om te zien. Bij 33 van de 41 families is de aanwezigheid gedaald met meer dan 50% en bij 21 van de 41 met meer dan 75%. Van de twaalf families die zich verder hebben verspreid, is bij drie families (Win32/Gael, Win32/Lovgate en Win32/Wukill) gemiddeld een gelijke toename te zien in elke set varianten die aan het programma zijn toegevoegd. Bij de resterende negen families (zoals Win32/Rbot in afbeelding 8) is per release een daling van het aantal verwijderingen te zien. Andere opvallende punten uit de gegevens: •

Het aantal verwijderingen van WinNT/F4IRootkit, de First4Internet-rootkit die via bepaalde muziek-cd's van Sony wordt verspreid, is zeer snel gedaald nadat de detectie aan de release van december 2005 werd toegevoegd. Dat wijst erop dat minder gebruikers de software vanaf geïnfecteerde cd's hebben geïnstalleerd of opnieuw geïnstalleerd nadat er in de media aandacht aan deze kwestie is besteed.

•

De snelle groei in het aantal Mywife-verwijderingen is te danken aan de toevoeging van Win32/Mywife.E aan het programma. Mywife.E was eind januari 2006 voor het eerst actief en werd door de pers ook CME-24 en de Kama Sutra-worm genoemd. De worm verspreidde zich voornamelijk via e-mail en beschadigde op de derde dag van elke kalendermaand belangrijke gegevensdocumenten. Het aantal keren dat deze worm werd verwijderd, schoot omhoog van ongeveer 700 in januari 2006 tot ongeveer 92.000 in februari 2006.

• Het groeiend aantal verwijderingen van Win32/Rbot kan worden toegeschreven aan het feit dat een groot aantal varianten van deze familie zijn toegevoegd aan elke nieuwe release van MSRT. Gemiddeld zijn er elke maand circa 2000 nieuwe varianten van Win32/Rbot toegevoegd aan het hulpprogramma. • De groei van het aantal verwijderingen van families zoals Win32/Hackdef en Win32/Ryknos is betrekkelijk groot omdat het hulpprogramma oorspronkelijk maar weinig varianten herkende, waardoor het aantal verwijderingen in eerste instantie laag was. De release van april 2005 herkende bijvoorbeeld slechts 78 varianten van de familie Win32/Hackdef. Dat aantal 14



is aanzienlijk gestegen tot 439 varianten in maart 2006: een groei van meer dan 400%. Het aantal verwijderingen groeide in die periode eveneens van 3000 tot 30.000. Daaruit kan worden geconcludeerd dat, hoewel het aantal verwijderingen van varianten van Hackdef nog altijd relatief laag is in vergelijking met andere families, de groei sinds de familie aan het hulpprogramma is toegevoegd significant is. Deze trend is duidelijk zichtbaar in de ontwikkelingsgegevens van de familie (afbeelding 9). Hoewel uit de afbeelding blijkt dat het aantal verwijderingen aanzienlijk is gestegen (met 842%), moet rekening worden gehouden met het feit dat deze cijfers zijn uitvergroot omdat het oorspronkelijke aantal zeer laag was. Gemiddeld is het aantal verwijderingen per familie bij elke nieuwe release met 31% gedaald.

Besturingssystemen

Op basis van de statistische gegevens die worden verzameld door MSRT kan Microsoft bepalen op welke versies van Microsoft Windows de verschillende bedreigingen het meest voorkomen. Afbeelding 10 laat de aanwezigheid van schadelijke software op verschillende besturingssystemen zien op basis van de release van maart 2006. De eerste twee schijfdiagrammen bevatten alle schadelijke software die door de release van maart 2006 is aangetroffen. Uit het diagram 'Totaal' blijkt dat de meeste schadelijke software werd verwijderd van systemen met Windows XP SP2 en dat 89% van alle verwijderingen door het hulpprogramma werden uitgevoerd op een systeem met een willekeurige versie van Windows XP. Een dergelijk hoog percentage verwijderingen op computers met Windows XP SP2 valt te verwachten omdat het hulpprogramma met name op deze computers wordt uitgevoerd. Voor een realistischer weergave van de verhoudingen moet het diagram eerst worden genormaliseerd. In dit geval houdt dat in dat het percentage verwijderingen op een besturingssysteem verhoudingsgewijs wordt aangepast aan het aantal systemen dat het hulpprogramma uitvoert. Dat wil zeggen dat de vertekening in het percentage verwijderingen op veelgebruikte besturingssystemen wordt geneutraliseerd door het aantal verwijderingen te delen door het relatieve percentage systemen waarop het hulpprogramma wordt uitgevoerd. Zo wordt het aantal verwijderingen op veelgebruikte systemen vermenigvuldigd met een kleinere factor dan op minder gebruikte systemen. De exacte wiskundige formule die hiervoor is gebruikt is: Genormaliseerde verwijderingenBS = VerwijderingenBS/GebruikspercentageBS Afbeelding 10: Computers gecontroleerd door de release van maart 2006, per besturingssysteem

15

Toepassing van deze formule op de percentages van de release van maart 2006 leidt tot het diagram in de rechterbovenhoek van afbeelding 10. Het diagram laat een opvallend ander beeld zien in de percentages: Windows XP SP2 daalt in het genormaliseerde diagram tot slechts 3% terwijl Windows XP Gold en SP1 nu verantwoordelijk zijn voor 63% van alle verwijderingen. Deze verhoudingen zijn zowel vanuit technisch als sociaal oogpunt te verklaren. Vanuit technisch oogpunt omdat Windows XP SP2 is voorzien van verschillende beveiligingsfuncties die op eerdere versies van Windows XP niet voorkomen, waardoor SP2 in sommige gevallen moeilijker kan worden geïnfecteerd. Vanuit sociaal oogpunt omdat kan worden aangenomen dat gebruikers die hun systeem nog niet hebben geüpgraded, vatbaarder zijn voor aanvallen op basis van social engineering. Deze verklaring kan zelfs worden doorgetrokken naar Windows 2000 en Windows Server 2003. Ook daar geldt dat op systemen met de nieuwste servicepacks lagere genormaliseerde aantallen verwijderingen hebben plaatsgevonden dan op systemen met oudere versies. De zes diagrammen onder de twee algemene diagrammen laten de genormaliseerde aantallen verwijderingen zien voor de categorieën in afbeelding 2. Over het algemeen zijn de resultaten in deze diagrammen vergelijkbaar met het genormaliseerde overzichtsdiagram. In alle gevallen is de volgorde van de besturingssystemen zelfs gelijk. Het is opvallend dat het hoogste percentage verwijderingen onder Windows XP SP2 schadelijke software betreft die wordt verspreid via e-mail, expresberichten en peer-to-peer-netwerken. Deze verhouding is logisch omdat deze bedreigingen, in tegenstelling tot bijvoorbeeld wormen, gebruikmaken van social engineering, een methode waar alle besturingssystemen gevoelig voor zijn.

Locale

Afbeelding 11. Computers gecontroleerd door de release van maart 2006, per landinstelling

Afbeelding 11 laat de verdeling per landinstelling zien van systemen die de release van MSRT van maart 2006 uitvoeren. Daarbij moet er rekening worden gehouden met het feit dat de systeemlandinstelling niet noodzakelijkerwijs is gekoppeld aan een geografische locatie. Zo wordt de landinstelling Engels (Verenigde Staten) ook in andere landen vrij vaak gebruikt. Uit het linkerdiagram in afbeelding 11 blijkt dat het merendeel van de computers waarvan schadelijke software is verwijderd, een Engelstalig besturingssysteem heeft. Ook hier geldt echter dat deze gegevens enigszins misleidend zijn, net als bij Windows XP SP2 hierboven, omdat een relatief groot aantal computers Engels als systeemtaal hebben. Daarom kunnen deze gegevens, net als hierboven bij besturingssystemen, worden genormaliseerd op grond van het gebruikspercentage van de landinstellingen. De formule is vergelijkbaar met die per besturingssysteem, met GebruikspercentageLandinstelling in plaats van GebruikspercentageBS. De interessante resultaten van deze berekening worden rechts in afbeelding 11 weergegeven. De normalisering heeft ervoor gezorgd dat de verwijderingen redelijk gelijk zijn verdeeld over de belangrijkste landinstellingen. Met andere woorden, als gekeken wordt naar de schadelijke software die door de toepassing wordt verwijderd en als alle waarden worden genormaliseerd, valt te concluderen dat schadelijke software wordt verwijderd van alle Windows-landinstellingen, met inbegrip van Engels. In het diagram is echter duidelijk dat de Turkse landinstelling een uitzondering is. Deze is na normalisering verantwoordelijk voor 20,2% van de verwijderingen. Als we de gegevens verder analyseren blijkt dat dit patroon zich in alle families van schadelijke software voordoet. Hoewel het Microsoft-team voor de bestrijding van schadelijke software bezig is met het onderzoek van deze gegevens, is de reden voor dit hoge percentage in de Turkse landinstelling in de genormaliseerde gegevens nog niet bekend. 16

Conclusie De afgelopen 15 maanden zijn spannend geweest voor het team voor bestrijding van schadelijke software van Microsoft, evenals voor onze interne partners: het programma voor het verwijderen van schadelijke software is geïntroduceerd en de bètaversies van Windows Defender, Windows Live OneCare en Windows Live Safety Center zijn gepresenteerd. De komende 15 maanden beloven net zo spannend te worden met de aanstaande introductie van volledige releases van de bovengenoemde software, evenals van Microsoft Forefront Client Security, een geconsolideerde oplossing voor het beveiligen van desktopcomputers, laptops en serversystemen tegen schadelijke software, die gemakkelijk kan worden beheerd. Ook MSRT zal nog blijvend worden aangeboden. Met de introductie van deze software zal Microsoft beschikken over meer gegevens over de aanwezigheid van schadelijke software, vergelijkbaar met de gegevens afkomstig van MSRT. Het verzamelen van deze gegevens speelt voor Microsoft een belangrijke rol bij het in kaart brengen van dreigingen en het bestrijden ervan met als doel de algehele gebruikservaring voor klanten van Microsoft te verbeteren. Zo heeft de constatering van het hoge percentage gevonden bots door MSRT ertoe geleid dat het team voor de bestrijding van schadelijke software verschillende geautomatiseerde analyse- en opsporingstechnieken voor dit type bedreiging heeft ontwikkeld. Daarmee worden nu steeds meer virusdefinities verspreid en is het team beter in staat te reageren op nieuwe bots. Het is voor Microsoft belangrijk om deze informatie te delen met onze partners en klanten. Niet alleen om de invloed van onze hulpprogramma's en producten op dreigingen aan te tonen, maar ook om onze kennis te delen. Dit rapport is het eerste belangrijke voorbeeld waarin deze informatie wordt gedeeld en er zal in de toekomst steeds vaker meer volgen. Wij hopen dat anderen in de beveiligingsbranche deze gegevens kunnen gebruiken om de gemeenschappelijke kennis van schadelijke software te verbeteren en ons op ons gezamenlijke doel te richten: het verminderen van de invloed van schadelijke software op Windows-systemen.

Bijlage Achtergrond MSRT

Eind 2003 heeft Microsoft activa gekocht van GeCAD Software, leverancier van antivirustechnologie, waarmee de Security Technology Unit (STU) van Microsoft kon beginnen met de ontwikkeling van antivirusprogramma's. De eerste release die voortvloeide uit de overname was het hulpprogramma Blaster Worm Removal Tool, dat in januari 2004 door het team voor bestrijding van schadelijke software van de STU werd geïntroduceerd in reactie op berichten van de internetprovider van Microsoft, waaruit bleek dat Blaster op dat moment nog altijd een grote bedreiging vormde. Met het hulpprogramma konden alle op dat moment bekende varianten van Msblast en Nachi worden verwijderd. Het werd via Windows Update ingezet op geïnfecteerde computers. Gebruikers die grote kans op infectie liepen kregen het hulpprogramma aangeboden vis Windows Update (WU)/Automatische updates (AU), waarbij Microsoft in 2004 belangrijke gegevens kon verzamelen over het voorkomen van Msblast en Nachi en als resultaat waarvan deze schadelijke software werd verwijderd van de computers van meer dan 10 miljoen klanten. Hierna werden onafhankelijke reinigingsprogramma's uitgegeven in maart 2004 en mei 2004, voor de detectie en verwijdering van respectievelijk Mydoom en Berbew. Microsoft kreeg positieve reacties van klanten die deze reinigingsprogramma's voor specifieke gevallen nuttig vonden, maar velen vroegen om een consistenter, voorspelbaarder systeem. Deze feedback leidde tot het ontwikkelen van het Windowshulpprogramma voor de verwijdering van schadelijke software, MSRT. De belangrijkste kenmerken van de release luiden als volgt: •

Het hulpprogramma wordt een keer per maand uitgegeven, op de tweede dinsdag van de maand, samen met eventuele beveiligingsupdates voor die maand. Zo nodig wordt een uitgave van het hulpprogramma verzorgd buiten dit schema, voor bedreigingen met hoge prioriteit. Tot nu toe heeft Microsoft slechts één ongeplande uitgave van het hulpprogramma verzorgd, namelijk in augustus 2005 ter bestrijding van de Zotob-worm. Omdat verwacht werd dat de Zotob-worm zich alleen zou verspreiden onder bepaalde organisaties die gebruikmaakten van Windows 2000, werd deze update alleen verspreid via het Downloadcentrum van Microsoft en de website.

• Alle maandelijkse uitgaven van het hulpprogramma worden gelijktijdig verspreid via Microsoft Update (MU), WU, AU, het Downloadcentrum van Microsoft en de website van MSRT: http://www.microsoft.com/security/malwareremove/default.mspx. • Elke uitgave van het hulpprogramma is cumulatief en bevat alle bedreigingen die bij eerdere uitgaven van het hulpprogramma zijn toegevoegd. 17

•

Bij levering via WU/MU/AU wordt elke uitgave van het hulpprogramma slechts één maal uitgevoerd, waarna het programma wordt afgesloten. Als schadelijke software wordt aangetroffen en verwijderd, krijgt de gebruiker de volgende keer dat de computer wordt opgestart een bericht van het hulpprogramma. Als geen schadelijke software wordt aangetroffen, krijgt de gebruiker geen berichten of gebruikersinterface te zien. Gebruikers die het hulpprogramma vaker dan één keer per maand willen uitvoeren, op een zelf gekozen tijdstip, kunnen een exemplaar downloaden vanaf het Downloadcentrum van Microsoft: http://www.microsoft.com/malwareremove.

• Het hulpprogramma kijkt standaard alleen naar schadelijke software die op dat moment wordt uitgevoerd of waarnaar een link staat op een auto-startlocatie, zoals het register. Het hulpprogramma is opzettelijk zo ontworpen, om de uitvoeringstijd tot een minimum te beperken, in het bijzonder via WU/AU. •

Het hulpprogramma is zo opgezet dat het gemakkelijk kan worden ingezet en beheerd door ondernemingsklanten. Specifieke inzetscenario's zijn onder meer verspreiding via Microsoft System Management Server (SMS) of een soortgelijk systeem voor toepassingenbeheer, en het uitvoeren van het hulpprogramma telkens als iemand zich aanmeldt bij het systeem of als het systeem wordt opgestart. Beheerders die het hulpprogramma inzetten in een van deze scenario's kunnen de door het hulpprogramma afgegeven statuscodes (vermeld in KB891716) gebruiken voor het bijhouden van de configuratie en de status. Het hulpprogramma kan ook worden ingezet via Windows Server Update Services (WSUS).

Het hulpprogramma wordt zo klein mogelijk gehouden, om tegemoet te komen aan klanten met beperkte bandbreedte. Met ingang van juni 2005 werden delta-updates via WU/MU/AU mogelijk. In dit scenario krijgen gebruikers die een recente versie van het hulpprogramma hebben uitgevoerd een kleinere update aangeboden (in principe het verschil tussen hetgeen de gebruiker al op zijn/haar systeem had en de nieuwste versie). Momenteel maakt circa 80% van de gebruikers van WU/MU/AU gebruik van deze kleinere updates, met als resultaat een besparing van één megabyte (MB) per gebruiker en circa 80 terabyte (TB) aan gegevensbesparing per uitgave.

18